package cn.iocoder.yudao.framework.security.core.util;

import cn.hutool.core.collection.CollUtil;
import cn.hutool.core.map.MapUtil;
import cn.hutool.core.util.NumberUtil;
import cn.hutool.core.util.ObjUtil;
import cn.hutool.core.util.StrUtil;
import cn.hutool.json.JSONUtil;
import cn.iocoder.yudao.framework.common.biz.permission.enums.RoleCodeEnum;
import cn.iocoder.yudao.framework.security.core.LoginUser;
import cn.iocoder.yudao.framework.web.core.util.WebFrameworkUtils;
import jakarta.annotation.Nonnull;
import jakarta.servlet.http.HttpServletRequest;
import org.springframework.lang.Nullable;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.util.StringUtils;

import java.util.*;
import java.util.stream.Collectors;

/**
 * FIXME 重构
 * 安全服务工具类
 *
 * @author 芋道源码
 */
public class SecurityFrameworkUtils {

    /**
     * HEADER 认证头 value 的前缀
     */
    public static final String AUTHORIZATION_BEARER = "Bearer";

    private SecurityFrameworkUtils() {
        super();
    }

    /**
     * 从请求中，获得认证 Token
     *
     * @param request 请求
     * @param headerName 认证 Token 对应的 Header 名字
     * @param parameterName 认证 Token 对应的 Parameter 名字
     * @return 认证 Token
     */
    public static String obtainAuthorization(HttpServletRequest request,
                                             String headerName, String parameterName) {
        // 1. 获得 Token。优先级：Header > Parameter
        String token = request.getHeader(headerName);
        if (StrUtil.isEmpty(token)) {
            token = request.getParameter(parameterName);
        }
        if (!StringUtils.hasText(token)) {
            return null;
        }
        // 2. 去除 Token 中带的 Bearer
        int index = token.indexOf(AUTHORIZATION_BEARER + " ");
        return index >= 0 ? token.substring(index + 7).trim() : token;
    }

    /**
     * 获得当前认证信息
     *
     * @return 认证信息
     */
    public static Authentication getAuthentication() {
        SecurityContext context = SecurityContextHolder.getContext();
        if (context == null) {
            return null;
        }
        return context.getAuthentication();
    }

    /**
     * 获取当前用户
     *
     * @return 当前用户
     */
    @Nullable
    public static LoginUser getLoginUser() {
        Authentication authentication = getAuthentication();
        if (authentication == null) {
            return null;
        }
        return authentication.getPrincipal() instanceof LoginUser ? (LoginUser) authentication.getPrincipal() : null;
    }

    /**
     * 获得当前用户的编号，从上下文中
     *
     * @return 用户编号
     */
    @Nullable
    public static Long getLoginUserId() {
        LoginUser loginUser = getLoginUser();
        if (loginUser != null) {
            return loginUser.getId(); // 优先使用线程上下文存储的
        }
        return WebFrameworkUtils.getLoginUserId(); // 线程上下文存储没有则尝试从HTTP请求中获取
    }

    /**
     * 设置当前用户
     *
     * @param loginUser 登录用户
     * @param request 请求
     */
    public static void setLoginUser(LoginUser loginUser, HttpServletRequest request) {
        // 创建 Authentication，并设置到上下文
        Authentication authentication = buildAuthentication(loginUser, request);
        SecurityContextHolder.getContext().setAuthentication(authentication);

        // 额外设置到 request 中，用于 ApiAccessLogFilter 可以获取到用户编号；
        // 原因是，Spring Security 的 Filter 在 ApiAccessLogFilter 后面，在它记录访问日志时，线上上下文已经没有用户编号等信息
        if (request != null) {
            WebFrameworkUtils.setLoginUserId(request, loginUser.getId());
            WebFrameworkUtils.setLoginUserType(request, loginUser.getUserType());
        }
    }

    private static Authentication buildAuthentication(LoginUser loginUser, HttpServletRequest request) {
        // 创建 UsernamePasswordAuthenticationToken 对象
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                loginUser, null, Collections.emptyList());
        authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        return authenticationToken;
    }

    /**
     * 是否条件跳过权限校验，包括数据权限、功能权限
     *
     * @return 是否跳过
     */
    public static boolean skipTenantPermissionCheck() {
        LoginUser loginUser = getLoginUser();
        if (loginUser == null) {
            return false;
        }
        if (loginUser.getVisitTenantId() == null) {
            return false;
        }
        // 重点：跨租户访问时，无法进行权限校验
        return ObjUtil.notEqual(loginUser.getVisitTenantId(), loginUser.getTenantId());
    }

    /**
     * 登录用户上下文角色编码 key
     */
    private static final String LOGIN_USER_CONTEXT_KEY_ROLE_CODES = "role_codes";
    /**
     * 登录用户上下文店铺编号 key
     */
    private static final String LOGIN_USER_CONTEXT_KEY_SHOP_IDS = "shop_ids";

    /**
     * ！！！重要！！！用于辅助实现数据权限，构建用户登录的额外信息，须在 OAuth2TokenServiceImpl 里调用
     *
     * @param roleCodes 角色编码集
     * @return 登录用户的角色编码集
     */
    //@Deprecated TODO 实现的不优雅，后续重构废弃
    public static Map<String, String> buildUserRoleCodes(Set<String> roleCodes) {
        return MapUtil.builder(LOGIN_USER_CONTEXT_KEY_ROLE_CODES, JSONUtil.toJsonStr(roleCodes))
                .build();
    }

    /**
     * ！！！重要！！！用于辅助实现数据权限，须在 OAuth2TokenServiceImpl 里为 LoginUser 加上当前用户拥有的 roleCodes 。
     *
     * @return 角色编码集
     */
    @Nonnull
    //@Deprecated TODO 实现的不优雅，后续重构废弃
    public static Set<String> getLoginUserRoleCodes() {
        LoginUser loginUser = getLoginUser();
        if (loginUser == null) {
            return new StringHashSet();
        }
        String roleCodesStr = MapUtil.get(loginUser.getInfo(), LOGIN_USER_CONTEXT_KEY_ROLE_CODES, String.class);
        Set<String> roleCodes = JSONUtil.parseArray(roleCodesStr).toBean(StringHashSet.class);
        if (CollUtil.isEmpty(roleCodes)) {
            return new StringHashSet();
        }
        return roleCodes;
    }

    /**
     * ！！！重要！！！用于辅助实现数据权限，构建用户登录的额外信息，须在 OAuth2TokenServiceImpl 里调用
     *
     * @param shopIds   店铺编号集
     * @return 登录用户的店铺编号集
     */
    //@Deprecated TODO 实现的不优雅，后续重构废弃
    public static Map<String, String> buildUserShopIds(Set<Long> shopIds) {
        return MapUtil.builder(LOGIN_USER_CONTEXT_KEY_SHOP_IDS, JSONUtil.toJsonStr(shopIds))
                .build();
    }

    /**
     * ！！！重要！！！用于辅助实现数据权限，须在 OAuth2TokenServiceImpl 里为 LoginUser 加上当前用户可管理的 shopIds 。
     *
     * @return 店铺编号集
     */
    //@Deprecated TODO 实现的不优雅，后续重构废弃
    @Nonnull
    public static Set<Long> getLoginUserShopIds() {
        LoginUser loginUser = cn.iocoder.yudao.framework.security.core.util.SecurityFrameworkUtils.getLoginUser();
        if (loginUser == null) {
            return new HashSet<>();
        }
        String shopIdsStr = MapUtil.get(loginUser.getInfo(), LOGIN_USER_CONTEXT_KEY_SHOP_IDS, String.class);
        Set<String> shopIds = JSONUtil.parseArray(shopIdsStr).toBean(StringHashSet.class);
        if (CollUtil.isEmpty(shopIds)) {
            return new HashSet<>();
        }
        return shopIds.stream().map(NumberUtil::parseLong).collect(Collectors.toSet());
    }

    //@Deprecated TODO 实现的不优雅，后续重构废弃
    @Nullable
    public static Long getLoginUserLastShopId() {
        Set<Long> shopIds = getLoginUserShopIds();
        if (CollUtil.isEmpty(shopIds)) {
            return 0L;
        }
        List<Long> list = new ArrayList<>(shopIds);
        list.sort(Long::compareTo);
        return list.get(list.size() - 1);
    }

    //@Deprecated TODO 实现的不优雅，后续重构废弃
    public static boolean isSuperAdmin() {
        Set<String> roleCodes = getLoginUserRoleCodes();
        return roleCodes.contains(RoleCodeEnum.SUPER_ADMIN.getCode())
               || roleCodes.contains(RoleCodeEnum.TENANT_ADMIN.getCode())
               || roleCodes.contains(RoleCodeEnum.PLATFORM_ADMIN.getCode());
    }

    public static class StringHashSet extends HashSet<String> {

    }

}
